En penetrationstest – forkortet pen-test – er en aktivitet hvor man simulererer angreb på et system med det formål at teste systemets sikkerhed.
Pen-tests kaldes også ethical hacking, da den udføres af hackere, men af den gode slags. Resultatet af en Pen-test kan bruges til at forbedre sikkerheden ved målrettet at lukke de sikkerhedshuller, som er fundet.
Hvornår bør man udføre en pen-test?
Der kan være mange grunde til at udføre en pen-test. Inden idriftsætning af et nyt stort IT-system er det fx en rigtig god idé at udføre en pen-test. Naturligvis har udviklerne selv tænkt sikkerhed ind i løsningen, men det er rettidig omhu at få eksterne specialister til at forsøge at hacke systemet. Vores sikkerhedsspecialister har arbejdet med denne type test i 10+ år og benytter de nyeste hacker-teknikker til at påvise sikkerhedshuller. Mange organisationer får udført pen-tests med jævne mellemrum, ofte årligt, for at sikre at deres systemer kan modstå de seneste hacker-teknikker og nye kendte sikkerhedshuller.
Hvordan foregår pen-test?
Vi benytter en velafprøvet metodik i pen-test, som baserer sig på mange års erfaring:
- Aftal omfang og spilleregler
Sammen med kunden aftaler vi omfanget af testen. Pen-tests kan variere meget i omfang og i denne fase vil vi aftale hvilke systemer der skal omfattes af testen, hvilke metoder der kan anvendes og hvilke regler der i øvrigt skal gælde. Vi aftaler også hvornår testen foregår (typisk over 7-15 dage) og hvilke personer hos kunden der skal informeres om igangværende test-aktiviteter eller fundne kritiske sårbarheder, der kræver omgående handling. - Indsaml information
Vi fastlægger hvilken information fra kunden der kan indgå i testen, fx API-dokumentation, arkitekturdokumenter og anden systemdokumentation. Det kan også være kendte bruger-credentials, ip-numre og dns-navne. Dokumenterne tilvejebringes og studeres i denne fase. - Rekognoscér
Vi benytter de aftalte applikationer og indsamler al tilgængelig data om dem og deres adfærd. - Modellér trusler
Ud fra vores forståelse af applikationerne og en øvrige systemarkitektur identificerer vi, hvilke trusler der er aktuelle og deres risikoprofil, dvs. sandsynlighed og konsekvens. - Analysér for sårbarheder
Vi indsamler viden om eksisterende sårbarheder for netop denne type systemer og de konkrete applikationer. Vi tester også for nye og ukendte sårbarheder bl.a. gennem fuzz-tests. - Udnyt sårbarheder
Vi udnytter fundne sårbarheder til at forsøge at fremskaffe følsomme oplysninger eller påføre systemerne skade. Herigennem afdækker vi om sårbarhederne rent faktisk er problematiske eller om de er falske positive. - Rapportér
Vi afrapporterer aktiviteter og fundne sårbarheder i en rapport. Rapporten giver også de testede systemer en karakter som afspejler deres sikkerhedsniveau ift. tilsvarende systemer i samme markedssegment. Rapporten kan benyttes til at dokumentere overfor relevante interessenter (fx revisorer eller investorer) at sikkerheden er på et givet niveau og at det er et område man tager alvorligt. Udfører man flere pen-tests over tid vil man kunne følge udviklingen i karakteren og se om det går den rigtige vej med sikkerheden.
Vi benytter som udgangspunkt denne struktur for rapporten:
- Executive summary
Her står alt hvad du behøver vide som ansvarlig beslutningstager, fx antallet af sårbarheder, næste skridt og prisen/konsekvensen ved ikke at gøre noget. - Forklaring af test-aktiviteter
Her beskriver vi de handlinger og valg vi har foretaget og begrunder dem – ud fra en angribers perspektiv. Det giver kunden indblik i hvad vi har testet, hvordan det er sket og hvordan en angriber anskuer systemerne. - Teknisk opsummering
Her gennemgår vi alle de tekniske detaljer, herunder fundne sårbarheder, CVSS score, forslag til håndtering/afbødning og rå data i form af fx requests og responses. - Compliance
Her sammenholder vi resultaterne med den compliance-standard som kunden ønsker. Hvis intet andet er aftalt benytter vi OWASP Top 10.
“Hos Andel har vi haft et meget fint forløb omkring en Pen-Test. Testen er blevet udført grundigt og i god dialog med testholdet. Den afsluttende rapport giver et godt og konstruktivt grundlag for vores videre arbejde med sikkerhed”.
Jeppe Lundgaard, Release Manager, Commercial IT, Andel Energi